|
|
|
[求助]从进程的句柄表中能分析出内核对象类型么
lkd> dt_object_header nt!_OBJECT_HEADER +0x000 PointerCount : Int4B +0x004 HandleCount : Int4B +0x004 NextToFree : Ptr32 Void +0x008 Type : Ptr32 _OBJECT_TYPE +0x00c NameInfoOffset : UChar +0x00d HandleInfoOffset : UChar +0x00e QuotaInfoOffset : UChar +0x00f Flags : UChar +0x010 ObjectCreateInfo : Ptr32 _OBJECT_CREATE_INFORMATION +0x010 QuotaBlockCharged : Ptr32 Void +0x014 SecurityDescriptor : Ptr32 Void +0x018 Body : _QUAD 那个Type~~~~~~~~~~~~~ lkd> !process PROCESS 89258498 SessionId: 0 Cid: 078c Peb: 7ffda000 ParentCid: 00e0 lkd> dt_object_header 89258498-0x18 nt!_OBJECT_HEADER +0x000 PointerCount : 44 +0x004 HandleCount : 2 +0x004 NextToFree : 0x00000002 +0x008 Type : 0x8a3ebe70 _OBJECT_TYPE +0x00c NameInfoOffset : 0 '' +0x00d HandleInfoOffset : 0 '' +0x00e QuotaInfoOffset : 0 '' +0x00f Flags : 0x20 ' ' +0x010 ObjectCreateInfo : 0x89556e78 _OBJECT_CREATE_INFORMATION +0x010 QuotaBlockCharged : 0x89556e78 +0x014 SecurityDescriptor : 0xe20866f4 +0x018 Body : _QUAD lkd> dt_OBJECT_TYPE 0x8a3ebe70 nt!_OBJECT_TYPE +0x000 Mutex : _ERESOURCE +0x038 TypeList : _LIST_ENTRY [ 0x8a3ebea8 - 0x8a3ebea8 ] +0x040 Name : _UNICODE_STRING "Process" +0x048 DefaultObject : (null) +0x04c Index : 5 +0x050 TotalNumberOfObjects : 0x22 ///////////////////// lkd> !thread THREAD 8913b020 Cid 078c.0adc Teb: 7ffdf000 Win32Thread: e467e350 RUNNING on processor 0 lkd> dt_object_header 8913b020-0x18 nt!_OBJECT_HEADER +0x000 PointerCount : 5 +0x004 HandleCount : 3 +0x004 NextToFree : 0x00000003 +0x008 Type : 0x8a3ebca0 _OBJECT_TYPE +0x00c NameInfoOffset : 0 '' +0x00d HandleInfoOffset : 0 '' +0x00e QuotaInfoOffset : 0 '' +0x00f Flags : 0x20 ' ' +0x010 ObjectCreateInfo : 0x89556e78 _OBJECT_CREATE_INFORMATION +0x010 QuotaBlockCharged : 0x89556e78 +0x014 SecurityDescriptor : 0xe2310224 +0x018 Body : _QUAD lkd> dt_object_type 0x8a3ebca0 nt!_OBJECT_TYPE +0x000 Mutex : _ERESOURCE +0x038 TypeList : _LIST_ENTRY [ 0x8a3ebcd8 - 0x8a3ebcd8 ] +0x040 Name : _UNICODE_STRING "Thread" +0x048 DefaultObject : (null) +0x04c Index : 6 +0x050 TotalNumberOfObjects : 0x1b9 +0x054 TotalNumberOfHandles : 0x2fc +0x058 HighWaterNumberOfObjects : 0x1f5 +0x05c HighWaterNumberOfHandles : 0x374 +0x060 TypeInfo : _OBJECT_TYPE_INITIALIZER +0x0ac Key : 0x65726854 +0x0b0 ObjectLocks : [4] _ERESOURCE |
|
[求助]学习进程隐藏
http://bbs.pediy.com/showthread.php?t=66839 |
|
[求助]rootkit进程隐藏例子的一个疑问
就是链表~ |
|
|
|
|
|
[分享]AheadLib修改版本 Happy 牛 Year!
好东西啊好东西~~~~~ |
|
|
|
[原创]关于远程注入
现在应该考虑保护方面的。 |
|
|
|
[推荐]用王艳萍的DriverWizard.awx配置驱动编译环境
同意~~~~~~这个模板改改更好用~ |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值